Projected Volumes
本文档介绍了 Kubernetes 中的* 投影卷 *。建议先熟悉卷。
简介
projected 卷将多个现有卷源映射到同一个目录。
目前,可以投影以下类型的卷源
所有源都需要与 Pod 位于同一命名空间中。有关更多详细信息,请参阅一体化卷设计文档。
包含密钥、downwardAPI 和配置映射的示例配置
apiVersion: v1
kind: Pod
metadata:
name: volume-test
spec:
containers:
- name: container-test
image: busybox:1.28
command: ["sleep", "3600"]
volumeMounts:
- name: all-in-one
mountPath: "/projected-volume"
readOnly: true
volumes:
- name: all-in-one
projected:
sources:
- secret:
name: mysecret
items:
- key: username
path: my-group/my-username
- downwardAPI:
items:
- path: "labels"
fieldRef:
fieldPath: metadata.labels
- path: "cpu_limit"
resourceFieldRef:
containerName: container-test
resource: limits.cpu
- configMap:
name: myconfigmap
items:
- key: config
path: my-group/my-config
示例配置:设置了非默认权限模式的密钥
apiVersion: v1
kind: Pod
metadata:
name: volume-test
spec:
containers:
- name: container-test
image: busybox:1.28
command: ["sleep", "3600"]
volumeMounts:
- name: all-in-one
mountPath: "/projected-volume"
readOnly: true
volumes:
- name: all-in-one
projected:
sources:
- secret:
name: mysecret
items:
- key: username
path: my-group/my-username
- secret:
name: mysecret2
items:
- key: password
path: my-group/my-password
mode: 511
每个投影卷源都在规范中的 sources 下列出。参数几乎相同,但有两个例外
- 对于密钥,
secretName字段已更改为name,以便与 ConfigMap 命名保持一致。 defaultMode只能在投影级别指定,而不能为每个卷源指定。但是,如上所示,您可以为每个单独的投影显式设置mode。
serviceAccountToken 投影卷
您可以将当前服务账户的令牌注入到指定路径的 Pod 中。例如
apiVersion: v1
kind: Pod
metadata:
name: sa-token-test
spec:
containers:
- name: container-test
image: busybox:1.28
command: ["sleep", "3600"]
volumeMounts:
- name: token-vol
mountPath: "/service-account"
readOnly: true
serviceAccountName: default
volumes:
- name: token-vol
projected:
sources:
- serviceAccountToken:
audience: api
expirationSeconds: 3600
path: token
示例 Pod 有一个包含注入的服务账户令牌的投影卷。此 Pod 中的容器可以使用该令牌访问 Kubernetes API 服务器,并使用Pod 的 ServiceAccount的身份进行身份验证。audience 字段包含令牌的预期受众。令牌的接收者必须使用令牌受众中指定的标识符来标识自身,否则应拒绝该令牌。此字段是可选的,默认为 API 服务器的标识符。
expirationSeconds 是服务账户令牌的预期有效期。它默认为 1 小时,并且必须至少为 10 分钟(600 秒)。管理员还可以通过为 API 服务器指定 --service-account-max-token-expiration 选项来限制其最大值。path 字段指定投影卷的挂载点的相对路径。
注意
使用投影卷源作为subPath卷挂载的容器将不会收到这些卷源的更新。集群信任包投影卷
Kubernetes v1.29 [alpha]注意
要在 Kubernetes 1.30 中使用此功能,您必须使用ClusterTrustBundle 特性门控和 --runtime-config=certificates.k8s.io/v1alpha1/clustertrustbundles=true kube-apiserver 标志启用对 ClusterTrustBundle 对象的支持,然后启用 ClusterTrustBundleProjection 特性门控。clusterTrustBundle 投影卷源将一个或多个ClusterTrustBundle 对象的内容作为自动更新的文件注入到容器文件系统中。
可以选择 ClusterTrustBundles,方法是按名称或按签名者名称。
要按名称选择,请使用 name 字段指定单个 ClusterTrustBundle 对象。
要按签名者名称选择,请使用 signerName 字段(以及可选的 labelSelector 字段)来指定一组使用给定签名者名称的 ClusterTrustBundle 对象。如果 labelSelector 不存在,则选择该签名者的所有 ClusterTrustBundles。
kubelet 对选定的 ClusterTrustBundle 对象中的证书进行重复数据删除,规范化 PEM 表示形式(丢弃注释和标头),对证书重新排序,并将它们写入 path 命名的文件中。随着选定的 ClusterTrustBundles 集或其内容发生变化,kubelet 会使文件保持最新。
默认情况下,如果找不到命名的 ClusterTrustBundle,或者如果 signerName / labelSelector 与任何 ClusterTrustBundles 不匹配,则 kubelet 将阻止 Pod 启动。如果您不希望出现这种行为,请将 optional 字段设置为 true,Pod 将在 path 处启动一个空文件。
apiVersion: v1
kind: Pod
metadata:
name: sa-ctb-name-test
spec:
containers:
- name: container-test
image: busybox
command: ["sleep", "3600"]
volumeMounts:
- name: token-vol
mountPath: "/root-certificates"
readOnly: true
serviceAccountName: default
volumes:
- name: token-vol
projected:
sources:
- clusterTrustBundle:
name: example
path: example-roots.pem
- clusterTrustBundle:
signerName: "example.com/mysigner"
labelSelector:
matchLabels:
version: live
path: mysigner-roots.pem
optional: true
SecurityContext 交互
投影服务账户卷增强功能中文件权限处理的提案引入了设置正确所有者权限的投影文件。
Linux
在 Linux Pod 中,如果在 Pod SecurityContext中设置了投影卷和 RunAsUser,则投影文件将设置正确的所属关系,包括容器用户所属关系。
当 Pod 中的所有容器都在其PodSecurityContext或容器SecurityContext中设置了相同的 runAsUser 时,kubelet 会确保 serviceAccountToken 卷的内容归该用户所有,并且令牌文件的权限模式设置为 0600。
注意
在 Pod 创建后添加到 Pod 的临时容器不会更改创建 Pod 时设置的卷权限。
如果 Pod 的 serviceAccountToken 卷权限设置为 0600,因为 Pod 中的所有其他容器都具有相同的 runAsUser,则临时容器必须使用相同的 runAsUser 才能读取令牌。
Windows
在 Windows Pod 中,如果在 Pod SecurityContext 中设置了投影卷和 RunAsUsername,则不会强制执行所属关系,因为 Windows 中的用户账户管理方式不同。Windows 在名为安全账户管理器 (SAM) 的数据库文件中存储和管理本地用户和组账户。每个容器都维护着自己的 SAM 数据库实例,主机在容器运行时无法看到该实例。Windows 容器旨在隔离运行主机操作系统的用户模式部分,因此维护虚拟 SAM 数据库。因此,在主机上运行的 kubelet 无法为虚拟化容器账户动态配置主机文件所属关系。建议如果要与容器共享主机上的文件,则应将它们放置在 C:\ 之外的自己的卷挂载中。
默认情况下,投影文件将具有以下所属关系,如示例投影卷文件所示
PS C:\> Get-Acl C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt | Format-List
Path : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt
Owner : BUILTIN\Administrators
Group : NT AUTHORITY\SYSTEM
Access : NT AUTHORITY\SYSTEM Allow FullControl
BUILTIN\Administrators Allow FullControl
BUILTIN\Users Allow ReadAndExecute, Synchronize
Audit :
Sddl : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)
这意味着所有管理员用户(如 ContainerAdministrator)都将具有读取、写入和执行权限,而非管理员用户将具有读取和执行权限。
注意
通常,不建议授予容器对主机的访问权限,因为这可能会为潜在的安全漏洞敞开大门。
在 Windows Pod 中创建 SecurityContext 中带有 RunAsUser 的 Pod 将导致 Pod 永远停留在 ContainerCreating 状态。因此,建议不要在 Windows Pod 中使用仅限 Linux 的 RunAsUser 选项。